El notario accidental: Apple aprueba un notorio malware para ejecutarse en Mac
¿Cuándo puede la protección contra malware de Apple representar más riesgo para el usuario que ninguno? Cuando certifica que un caballo de Troya es seguro, aunque destaca como un pulgar dolorido, representa una de las mayores amenazas en la plataforma macOS.

El mundo recibió esta lección práctica durante el fin de semana después de que Apple respaldara las últimas muestras de «Shlayer», el nombre dado a un troyano que se encuentra entre los más, si no los piezas más prolíficas de malware para Mac durante más de dos años. El sello de aprobación llegó en forma de un mecanismo de reconocimiento de firmas introducido por Apple en macOS Mojave para, como dijo Apple, «dar más confianza a los usuarios» de que la aplicación que instalan «ha sido verificada por Apple para los componentes. malicioso «.

Con el lanzamiento de macOS Catalina, el reconocimiento de firmas se ha convertido en un requisito para todas las aplicaciones. A menos que se instale utilizando métodos no mencionados por Apple (más sobre esto más adelante), una aplicación no autenticada generará la siguiente advertencia que dice «no se puede abrir porque Apple no puede buscar software malicioso».

Shlayer clásico … con una gran diferencia

Viernes, estudiante universitario Peter H. Dantini Encontré esa cerveza casera[.]sh, una imitación del brew.sh casero legítimo, estaba promocionando una actualización falsa de Adobe Flash y advirtiendo a los usuarios que su versión actual no contenía las últimas actualizaciones de seguridad.

Era una campaña clásica de Shlayer similar a cientos o miles de anteriores, que también usaba actualizaciones de Flash falsas para infectar a los usuarios con adware. excepto por una diferencia fundamental: el troyano fue autenticado por Apple. Patrick Wardle, investigador de seguridad en la empresa de gestión empresarial macOS e iOS Jamf, dijo que cree que este es el primer malware en recibir el «sello de reconocimiento» de reconocimiento firme.

Wardle notificó a Apple el viernes sobre el archivo autenticado incorrectamente, y la compañía revocó rápidamente la certificación, una medida que evitó que el troyano infectara las Mac actualizadas. El domingo, dijo Wardle, descubrió que el sitio estaba proporcionando nuevas cargas útiles maliciosas que, una vez más, fueron autenticadas por Apple.

«Desafortunadamente, un sistema que promete confianza pero que no cumple puede terminar poniendo a los usuarios en mayor riesgo», escribió Wardle en una publicación. «¿Qué quieres decir? Si los usuarios de Mac aceptan las afirmaciones de Apple, es probable que confíen plenamente en todo el software autenticado. Esto es extremadamente problemático porque el software malicioso conocido (como OSX.Shlayer) ya está (trivialmente) obteniendo ese reconocimiento. ¡firma! »

El proveedor de antivirus Malwarebytes también dijo: «Desafortunadamente, está empezando a parecer que el reconocimiento de la empresa puede significar menos seguridad y más teatro de seguridad».

En defensa de la notarización

En un comunicado, los empleados de Apple escribieron: “El software malicioso cambia constantemente, y el sistema de reconocimiento de firmas de Apple nos ayuda a mantener el malware fuera de la Mac y nos permite responder rápidamente cuando se descubre. Al enterarnos de este adware, revocamos la variante identificada, deshabilitamos la cuenta del desarrollador y revocamos los certificados asociados. Agradecemos a los investigadores por su ayuda para mantener seguros a nuestros usuarios. »

En defensa de Apple, la compañía siempre ha dejado claro que el reconocimiento de firmas es «un sistema automatizado que verifica su software en busca de contenido malicioso, busca problemas de firma de código y le devuelve los resultados rápidamente». Como tal, Apple nunca lo presentó como un control de seguridad integral.

Otro punto a favor de Apple: en el momento en que Dantini descubrió el malware y lo informó a Wardle, la muestra no tuvo detecciones en Virus Total, el servicio de escaneo de malware patentado de Alphabet que agrega resultados de más de 60 proveedores de antivirus. . Además, la Play Store de Google admite regularmente aplicaciones maliciosas, aunque se supone que su servicio de seguridad debe verificar si hay actividad nefasta.

E incluso cuando el reconocimiento de firmas impide que una aplicación se instale normalmente, no es tan difícil sortear el mecanismo. Como se muestra en la captura de pantalla a continuación, cortesía de Malwarebytes, las versiones sin marcar de Shlayer han tenido durante mucho tiempo marcas con un fondo personalizado que les indica que deben hacer clic derecho en un archivo de imagen de disco, en lugar de hacer doble clic como normal y luego seleccione abrir.

Malwarebytes

Con esto, se instala el malware.

Desdentado … y un dolor de usar

Al mismo tiempo, y como señaló el año pasado Andrew Cunningham, ahora revisor independiente de Ars, el reconocimiento firme es una carga tanto para los usuarios como para los desarrolladores. Presumiblemente, Apple ha decidido aumentar las protecciones de firma de código introducidas anteriormente, que requieren que los desarrolladores autentiquen sus aplicaciones con un certificado criptográfico emitido por Apple. Si el servicio ha hecho que los usuarios estén más seguros, es posible que tenga buenos argumentos para decir que el trastorno vale la pena. Este argumento es más difícil de usar si la nueva función brinda a los usuarios una falsa sensación de seguridad.

La notificación parece especialmente inútil cuando no puede detectar esa familia de malware en particular. Como informó Kaspersky Lab en enero, Shlayer fue la principal amenaza para macOS durante aproximadamente dos años y representó aproximadamente el 30% de todas las detecciones de sistemas operativos en 2019. Shlayer también va mucho más allá de la molestia del adware. Por ejemplo, después de utilizar técnicas de click-jacking para engañar a los usuarios para que instalen un certificado criptográfico autofirmado, el malware descifra y lee todo el tráfico HTTPS cifrado. También recopila ID de usuario.

Las tonterías de Apple son aún más difíciles de entender cuando te enamoras de archivos como los encontrados el viernes y nuevamente el domingo.

«Era una actualización de Flash Player falsa … con el icono de Adobe y todo … que obviamente no estaba firmado por Adobe», dijo Wardle en un chat en línea. «Habrías pensado que es una gran señal de alerta que Apple bloquearía de todos modos, como, umm, cualquier cosa que se haga pasar por una actualización de ‘Flash’ … sí, no, no autentiques eso, porque a quién le importa qué hace (es decir, qué es el malware / adware), obviamente. es falso / malicioso. »